黑客可能利用Meta的AI聊天機器人劫持超過2萬個Instagram賬户

Meta公司向緬因州提交的一份通知中確認，黑客很可能利用其AI支持聊天機器人劫持了超過20,225個Instagram賬户。該漏洞由Bleeping Computer首先發現，Meta將其歸咎於一個“bug”。攻擊者無需雙因素認證，僅通過向聊天機器人請求密碼重置即可接管賬户。

Meta在通知中詳細解釋了這個漏洞的工作原理：工具本身運行正常且符合預期，但由於另一代碼路徑中的缺陷，系統未能正確驗證請求密碼重置的個人提供的電子郵件地址是否與該Instagram賬户關聯。因此，當個人提供之前未關聯的電子郵件地址時，系統錯誤地將密碼重置鏈接發送到該未關聯郵箱，而未拒絕請求。這允許未經授權的第三方接收他們不擁有的賬户的密碼重置鏈接。

Meta表示，攻擊首次出現於5月31日，Meta傳播主管Andy Stone稱公司於6月1日“解決”了該事件。在此期間，多個高知名度Instagram賬户受到影響，包括前總統巴拉克·奧巴馬的白宮舊賬户、美國太空軍高級軍士長John F. Bentivegna以及化妝品零售商絲芙蘭。這些賬户的劫持引起了廣泛關注，凸顯了AI工具在安全方面的潛在風險。

Meta在通知中補充，尚不清楚是否有任何個人數據因該漏洞被訪問，但指出賬户劫持者可能獲取了電子郵件地址、電話號碼、出生日期、社交媒體帖子、私信、個人資料信息、賬户活動及關聯賬户。這意味着受影響用户的隱私可能受到嚴重侵犯。

通知稱，有30名受影響用户居住在緬因州。這一數字指的是“通過支持工具重置密碼、未啓用雙因素認證且其Instagram賬户可能被未經授權方訪問的用户”——不過Meta表示這是“上限”，因為其中一些賬户可能是合法訪問。儘管如此，這一數字反映出漏洞的影響範圍。

Meta稱，已禁用其AI支持工具並移除有漏洞的代碼路徑，同時廢除所有利用該漏洞生成的密碼重置鏈接。公司還將所有可能受影響的賬户納入“強制安全檢查，要求在訪問賬户前進行身份驗證”。這一系列措施旨在防止類似事件再次發生，並保護用户賬户安全。此次事件再次提醒我們，即使是最先進的AI技術，也可能因微小的代碼缺陷而成為安全隱患。